Pernah bertanya-tanya malware apa yang dapat dideteksi dan dihapus oleh Mac Anda tanpa perangkat lunak pihak ketiga? Baru-baru ini, peneliti keamanan telah menghubungkan beberapa aturan aneh macOS YARA yang digunakan oleh rangkaian XProtect bawaan dengan nama publiknya. Inilah malware yang dicari…
9to5Mac Security Bite secara eksklusif dipersembahkan oleh Mosyle, satu-satunya Apple Unified Platform . Membuat perangkat Apple siap bekerja dan aman bagi perusahaan adalah semua yang kami lakukan. Pendekatan terintegrasi kami yang unik terhadap manajemen dan keamanan menggabungkan solusi keamanan canggih khusus Apple untuk Pengerasan & Kepatuhan yang sepenuhnya otomatis, EDR Generasi Berikutnya, Zero Trust yang didukung AI, dan Manajemen Privilege eksklusif dengan MDM Apple yang paling kuat dan modern di pasar. Hasilnya adalah Apple Unified Platform yang sepenuhnya otomatis dan saat ini dipercaya oleh lebih dari 45.000 organisasi untuk membuat jutaan perangkat Apple siap bekerja tanpa perlu bersusah payah dan dengan biaya terjangkau. Minta UJI COBA PERPANJANGAN Anda hari ini dan pahami mengapa Mosyle adalah segalanya yang Anda perlukan untuk bekerja dengan Apple.
Apa itu XProtect?
XProtect diperkenalkan pada tahun 2009 sebagai bagian dari macOS X 10.6 Snow Leopard. Awalnya, ini dirilis untuk mendeteksi dan memperingatkan pengguna jika malware ditemukan di file instalasi. Namun, seiring berjalannya waktu, ini telah menjadi seperangkat alat seiring Apple terus mengatasi meningkatnya masalah malware di platformnya.
Rangkaian XProtect menggunakan deteksi berbasis tanda tangan YARA untuk mengidentifikasi dan menghilangkan malware. YARA adalah alat sumber terbuka populer yang dibuat oleh peneliti malware, yang bekerja dengan mengidentifikasi malware berdasarkan kesamaan kode yang ditemukan di berbagai keluarga malware. Apple sering menambahkan pembaruan keamanan ke kumpulan ini.
Pada macOS 14 Sonoma, XProtect terdiri dari tiga komponen utama:
XProtect mendeteksi malware menggunakan aturan YARA setiap kali aplikasi pertama kali diluncurkan, mengubah, atau memperbarui tanda tangannya. XProtectRemediator (XPR) dapat mendeteksi dan menghapus malware dengan melakukan secara rutin YARA memindai selama periode aktivitas rendah, yang memiliki dampak minimal pada CPU. XProtectBehaviorService (XBS) ditambahkan dengan versi terbaru macOS dan memantau perilaku sistem sehubungan dengan sumber daya penting. XProtectRemediator (XPR) saat ini terdiri dari 23 modul pemindaian yang dijalankan hampir bersamaan. Sayangnya, sebagian besar memiliki skema penamaan generik atau internal yang tidak masuk akal jika dilihat dari luar.
“Bagian remediator dari XProtect memiliki serangkaian executable…masing-masing menargetkan keluarga malware tertentu,” menurut Alden, sebuah malware peneliti yang baru-baru ini membuat kemajuan signifikan dengan merekayasa balik dan mengidentifikasi empat modul pemindaian, alias remediator.
“Beberapa aturan memiliki nama yang bermakna seperti XProtect_MACOS_PIRRIT_GEN, yang merupakan tanda untuk adware Pirrit, sementara aturan lainnya bersifat generik (XProtect_MACOS_2fc5997) atau internal untuk Apple (XProtect_snowdrift).” Alden menjelaskan lebih detail tentang Github mereka.
Meskipun hal ini dilakukan untuk alasan yang baik, hal ini dapat menjadi tantangan bagi mereka yang penasaran untuk mengetahui secara pasti apa yang dicari malware XPR.
Bagaimana cara menemukan XProtect?
XProtect diaktifkan secara default di setiap versi macOS. Ini juga berjalan pada tingkat sistem, sepenuhnya di latar belakang, jadi tidak diperlukan intervensi. Tapi di sinilah lokasinya:
Di Macintosh HD , pergi ke Perpustakaan > Apple > Sistem > Perpustakaan > Layanan Inti Dari sini, Anda dapat menemukan remediator dengan mengklik kanan pada XProtect Kemudian klik Tampilkan Isi Paket Perluas Konten > Sumber Daya Open MacOS Malware apa yang dapat dihapus oleh XProtectRemediator?
Menggunakan temuan baru dan yang sudah ada dari Alden, The Eclectic Light Company membagikan daftar 14 dari 23 modul pemindaian di versi XPR saat ini dan bagaimana korelasinya dengan nama malware publiknya. Berikut ini beberapa di antaranya:
Adload adalah pemuat adware dan bundleware lama yang berasal dari tahun 2016 yang memiliki rekam jejak perubahan cepat, sehingga memungkinkannya menghindari deteksi statis. Biasanya mencapai persistensi melalui layanan palsu yang dipasang di ~/Library/LaunchAgents/, dan Phil Stokes memberikan rincian lebih lengkap di sini. BadGacha tetap tidak teridentifikasi, tetapi sering melaporkan positif palsu untuk aplikasi pembantu di aplikasi yang tidak berbahaya. BlueTop adalah aplikasi WindowServer palsu yang merupakan bagian dari kampanye Trojan-Proxy yang diselidiki oleh Kaspersky pada akhir tahun 2023. ColdSnap lebih dikenal sebagai SimpleTea, komponen lintas platform yang merupakan bagian dari serangan rantai pasokan 3CX. Crapyrator telah diidentifikasi sebagai BkDr.Activator , ditemukan di banyak torrent aplikasi yang diretas seperti MarsEdit, DaisyDisk, dan SpamSieve. Ia menggunakan metode canggih, biasanya menginstal Activator.app di folder Aplikasi utama, meminta kata sandi dan menggunakannya untuk menonaktifkan pemeriksaan Gatekeeper, kemudian mematikan Pusat Pemberitahuan untuk menutupi jejaknya. Perincian lebih lanjut diberikan di sini. DubRobber lebih dikenal secara umum sebagai XCSSET, penetes Trojan yang serbaguna dan mengganggu yang sering berubah untuk menghindari deteksi. Eicar sama sekali bukan malware, melainkan uji deteksi standar yang tidak berbahaya
Itulah konten tentang Security Bite: Inilah malware yang dapat dihapus oleh Mac Anda, semoga bermanfaat.